ERSPAN(Encapsulated Remote Switched Port Analyzer)とは
SPAN、RSPANに続く第三のSPAN?
1つ以上の送信元ポートのトラフィックをミラーリングし、ミラーリングされたトラフィックを別のスイッチの1つ以上の宛先ポートに配信します。
ERSPANではGREを使用してキャプチャしたパケットをカプセル化します。このようにすることで、送信元スイッチと宛先スイッチの間のレイヤ3NWを介してルーティングが可能となります。※従来のSPANやRSPANはあくまでもレイヤ2のNWの範囲のみ。
異なるスイッチ上の送信元ポート、送信元VLAN、及び宛先ポートをサポートします。
これによって、NW上にある複数のスイッチのリモート監視を可能とします。
使用をすることが推奨される状況
・キャプチャ用の機器(PCやサーバ)とキャプチャ対象となるI/Fを持つNW機器がL3機器を跨っている場合。
・障害時やその他トラフィック調査のために、一時的に特定のNW機器のI/Fのトラフィックをキャプチャしたい場合。
設定を入れてもトラフィック取得時はセッションという形で管理されるため、必要な時だけキャプチャをすることが出来ます。
コマンドについて解説
ERSPANはちょっと設定がややこしいです。
下記の2つの設定が必須となります。
・ERSPAN送信元セッション…パケットをキャプチャしたいNW機器で設定します。
・ERSPAN宛先セッション…GREでカプセル化されたパケットを受信するNW機器で設定します。
また、ERSPAN-IDと呼ばれる送信元と宛先の間でERSPAN用のトラフィックを識別するための識別子があります。これらは両方の設定で同じIDにする必要があります。
次にコマンドレベルで詳細に解説します。アドレスやI/F名は仮のものとなります。
ERSPAN送信元セッションの設定
①monitor session 1 type erspan-source
ERSPAN送信元セッションに関する設定を開始します。この設定の場合、1がセッションID番号です。
②source interface gi1/1
ERSPAN送信元セッション番号と送信元ポートを関連付けます。このポートを対象にキャプチャを実施します。
③destination
送信元セッションの宛先モードを開始します。
④erspan-id 1
ERSPANトラフィックを識別するために送信元セッションと宛先セッションで使用されるID番号を設定します。ERSPAN宛先セッションの設定でも同じID番号を指定する必要があります。
⑤ip address 2.2.2.2
GREでカプセル化したトラフィックを送信する宛先IPアドレスを指定します。宛先スイッチ上のインタフェースでも設定され、ERSPAN宛先セッション設定で入力する必要があります。GREでカプセル化した際に新しく付加されたIPヘッダーの宛先IPアドレスとなります。
⑥origin ip address 1.1.1.1
ERSPANトラフィックの送信元として使用されるIPアドレスです。GREでカプセル化した際に新しく付加されたIPヘッダーの送信元IPアドレスとなります。
ERSPAN宛先セッションの設定
①monitor session 1 type erspan-destination
ERSPAN宛先セッションに関する設定を開始します。この設定の場合、1がセッションID番号です。
②destination interface gi1/1
ERSPAN宛先セッション番号とERSPAN送信元でキャプチャしたトラフィックが送信されるポートを紐づけます。このI/Fの先にWiresharkなどを起動させたサーバやPCを接続します。
③source
ERSPAN宛先セッションの送信元設定モードが開始されます。
④erspan-id 1
ERSPAN送信元セッションで入力したIDと一致する必要があります。
⑤ip address 2.2.2.2
ERSPAN送信元セッションの⑤で指定した宛先IPアドレスと同じアドレスを指定します。
これは、ローカルインタフェース上のIPアドレスとなります。これを入力することで、このアドレスが付与されたI/FでGREでカプセル化されたトラフィックを受信することが可能となります。
構成図
Coming soon
検証方法
Coming soon
検証結果
Coming soon
コメント